Une campagne d'espionnage soutenue par la Chine cible des journalistes et des militants

Des pirates informatiques soutenus par l'État chinois ciblent des journalistes et des groupes de la société civile

Des chercheurs du Citizen Lab et du Consortium international des journalistes d'investigation (ICIJ) ont mis au jour une opération d'espionnage numérique à grande échelle liée à la Chine, qui ciblait systématiquement des journalistes, des militants ouïghours et tibétains, ainsi que des fonctionnaires du gouvernement taïwanais. La campagne a utilisé plus de 100 domaines malveillants et des messages d'hameçonnage générés par intelligence artificielle, conçus pour voler des identifiants de connexion et obtenir un accès non autorisé à des comptes de messagerie, des fichiers et des listes de contacts.

L'ampleur et la sophistication de cette opération en font l'une des campagnes de surveillance étatique les plus significatives documentées ces dernières années. Elle soulève également de sérieuses questions quant à la vulnérabilité des groupes de la société civile, des organisations médiatiques indépendantes et des communautés de minorités ethniques qui opèrent régulièrement sous pression étatique.

Comment l'attaque a fonctionné

Les attaquants ont largement recouru à l'hameçonnage, une méthode qui pousse les cibles à divulguer leurs identifiants et mots de passe en usurpant l'identité de services ou de contacts de confiance. Ce qui distingue cette campagne, c'est le recours signalé à des messages générés par intelligence artificielle, permettant aux attaquants de produire à grande échelle des communications très convaincantes et grammaticalement correctes, abaissant ainsi l'un des obstacles traditionnels à un hameçonnage efficace.

Une fois les identifiants obtenus, les attaquants pouvaient accéder silencieusement aux boîtes de réception, collecter des listes de contacts et lire des fichiers sensibles sans déclencher d'alertes manifestes. Ce type d'accès est particulièrement dommageable pour les journalistes d'investigation, dont les communications avec leurs sources et les documents non publiés peuvent être exposés, ainsi que pour les militants dont les réseaux de contacts peuvent être identifiés et mis en danger.

Le recours à plus de 100 domaines malveillants témoigne d'une opération disposant de ressources importantes. La répartition de l'infrastructure sur de nombreux domaines complique la tâche des équipes de sécurité qui tenteraient de bloquer la campagne en ciblant une source unique, et permet aux attaquants de pivoter rapidement si des domaines individuels sont signalés.

Qui était ciblé et pourquoi cela importe

Les cibles de cette campagne ont un point commun : ce sont toutes des groupes que les autorités chinoises ont de fortes motivations politiques à surveiller. L'ICIJ est surtout connu pour avoir publié de grandes enquêtes financières, notamment les Panama Papers et les Pandora Papers. Les communautés ouïghoures et tibétaines font depuis longtemps l'objet d'une surveillance numérique, le Citizen Lab ayant documenté plusieurs campagnes antérieures visant ces deux groupes. Les fonctionnaires du gouvernement taïwanais représentent une cible géopolitiquement sensible, compte tenu des tensions persistantes entre les deux rives du détroit.

Il ne s'agit pas d'un incident isolé. Le Citizen Lab, basé à l'Université de Toronto, a documenté des dizaines de campagnes au fil des années ciblant des dissidents, des journalistes et des groupes minoritaires en lien avec la Chine. Ce que cette dernière affaire illustre, c'est l'évolution des méthodes. L'intégration d'outils d'intelligence artificielle dans les opérations d'hameçonnage laisse penser que même les cibles numériquement prudentes pourraient avoir plus de mal à distinguer les messages malveillants des messages légitimes.

Pour les organisations de la société civile, les implications vont au-delà des comptes individuels. Lorsque la boîte de réception d'un journaliste est compromise, les sources peuvent être identifiées. Lorsque la liste de contacts d'un militant est collectée, un réseau entier devient visible pour un acteur étatique hostile. Les dommages se limitent rarement à la personne directement visée.

Ce que cela signifie pour vous

Si vous travaillez dans le journalisme, le militantisme ou tout domaine où les communications sensibles sont courantes, cette campagne rappelle clairement que le vol d'identifiants est l'un des outils les plus efficaces dont disposent les attaquants soutenus par des États. Vous n'avez pas besoin d'être une cible de premier plan pour être intégré dans un vaste réseau de surveillance.

Plusieurs mesures concrètes peuvent réduire sensiblement votre exposition :

• Utilisez des clés de sécurité physiques ou une authentification à deux facteurs par application. Les attaques par hameçonnage visant à voler des mots de passe sont bien moins efficaces lorsqu'un second facteur est requis pour finaliser une connexion. Les clés physiques, en particulier, sont très résistantes à l'hameçonnage.
• Méfiez-vous des invitations à vous connecter inattendues. Les messages d'hameçonnage générés par intelligence artificielle peuvent sembler convaincants, mais la demande elle-même — vous invitant à vérifier vos identifiants ou à vous connecter via un lien inconnu — est le signal d'alarme.
• Utilisez des outils de communication chiffrés pour les échanges sensibles. La messagerie électronique est intrinsèquement difficile à sécuriser. Les applications de messagerie chiffrée de bout en bout offrent une protection nettement plus robuste pour les communications avec les sources et la coordination sensible.
• Auditez régulièrement l'accès à vos comptes. Vérifiez quels appareils et applications ont accès à votre messagerie et à votre stockage en nuage. Révoquez tout accès non reconnu.
• Envisagez d'utiliser un VPN lors de l'accès à des comptes sensibles sur des réseaux publics ou non fiables. Un VPN ne prévient pas l'hameçonnage, mais il protège votre trafic contre l'interception au niveau du réseau, ce qui compte lorsque votre modèle de menace inclut des acteurs étatiques.

Les campagnes d'hameçonnage étatiques comme celle-ci sont conçues pour être invisibles. Les identifiants sont volés, l'accès est maintenu discrètement, et les cibles n'ont souvent aucune idée d'avoir été compromises avant que des dommages importants ne se soient déjà produits. Comprendre le fonctionnement de ces opérations est la première étape pour vous protéger, vous et votre réseau.

Pour les journalistes, les militants et toute personne dont le travail les place dans la ligne de mire d'un adversaire déterminé, la sécurité numérique n'est pas une réflexion secondaire d'ordre technique. C'est un élément central d'une pratique sûre. Réviser dès maintenant vos pratiques d'authentification et vos habitudes de communication, avant qu'un incident ne survienne, constitue la défense la plus efficace à votre disposition.